Aangepaste regels voor Application Gateway WAF v2 maken

Met snelheidsbeperking kunt u abnormaal hoge niveaus van verkeer detecteren en blokkeren dat is bestemd voor uw toepassing. Snelheidsbeperking werkt door alle verkeer te tellen dat overeenkomt met de geconfigureerde frequentielimietregel en door de geconfigureerde actie uit te voeren voor verkeer dat overeenkomt met die regel die de geconfigureerde drempelwaarde overschrijdt. Zie het overzicht van snelheidsbeperking voor meer informatie.

Aangepaste regels voor frequentielimiet configureren

Gebruik de volgende informatie om frequentielimietregels voor Application Gateway WAFv2 te configureren.

Scenario 1 : maak een regel om verkeer te beperken per client-IP die de geconfigureerde drempelwaarde overschrijdt, die overeenkomt met al het verkeer.

Portal

1. Open een bestaand WAF-beleid voor Application Gateway.
2. Selecteer Aangepaste regels.
3. Selecteer Aangepaste regel toevoegen.
4. Typ een naam voor de aangepaste regel.
5. Selecteer frequentielimiet voor het type regel.
6. Typ een prioriteit voor de regel.
7. Kies 1 minuut voor de duur van de snelheidslimiet.
8. Type 200 voor drempelwaarde voor frequentielimiet (aanvragen).
9. Selecteer clientadres voor groepssnelheidslimietverkeer op.
10. Kies onder Voorwaarden het IP-adres voor het type Overeenkomst.
11. Selecteer voor Bewerking de optie Bevat niet.
12. Voor overeenkomstvoorwaarde typt u onder IP-adres of bereik 255.255.255.255/32.
13. Laat de actie-instelling op Verkeer weigeren staan.
14. Selecteer Toevoegen om de aangepaste regel toe te voegen aan het beleid.
15. Selecteer Opslaan om de configuratie op te slaan en de aangepaste regel actief te maken voor het WAF-beleid.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scenario 2: aangepaste regel voor frequentielimiet maken zodat deze overeenkomt met al het verkeer, met uitzondering van verkeer dat afkomstig is van de Verenigde Staten. Verkeer wordt gegroepeerd, geteld en beperkt op basis van de GeoLocation van het IP-adres van de clientbron

Portal

1. Open een bestaand WAF-beleid voor Application Gateway.
2. Selecteer Aangepaste regels.
3. Selecteer Aangepaste regel toevoegen.
4. Typ een naam voor de aangepaste regel.
5. Selecteer frequentielimiet voor het type regel.
6. Typ een prioriteit voor de regel.
7. Kies 1 minuut voor de duur van de snelheidslimiet.
8. Typ 500 voor de drempelwaarde voor frequentielimiet (aanvragen).
9. Selecteer geografische locatie voor groepssnelheidslimietverkeer op.
10. Kies onder Voorwaarden de geografische locatie voor het type Overeenkomst.
11. Selecteer RemoteAddr voor de variabele Vergelijken in de sectie **Vergelijken.
12. Selecteer Is niet voor bewerking.
13. Selecteer Verenigde Staten voor land/regio.
14. Laat de actie-instelling op Verkeer weigeren staan.
15. Selecteer Toevoegen om de aangepaste regel toe te voegen aan het beleid.
16. Selecteer Opslaan om de configuratie op te slaan en de aangepaste regel actief te maken voor het WAF-beleid.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scenario Drie : aangepaste regel voor frequentielimiet maken die overeenkomt met al het verkeer voor de aanmeldingspagina en met behulp van de variabele GroupBy None. Hiermee wordt al het verkeer gegroepeerd en geteld dat overeenkomt met de regel als één, en wordt de actie toegepast op al het verkeer dat overeenkomt met de regel (/login).

Portal

1. Open een bestaand WAF-beleid voor Application Gateway.
2. Selecteer Aangepaste regels.
3. Selecteer Aangepaste regel toevoegen.
4. Typ een naam voor de aangepaste regel.
5. Selecteer frequentielimiet voor het type regel.
6. Typ een prioriteit voor de regel.
7. Kies 1 minuut voor de duur van de snelheidslimiet.
8. Typ 100 voor de drempelwaarde voor frequentielimiet (aanvragen).
9. Selecteer Geen voor groepssnelheidslimietverkeer op.
10. Kies onder Voorwaarden tekenreeks voor type overeenkomst.
11. Selecteer in de sectie Match variables de optie RequestUri for Match variable.
12. Selecteer Is niet voor bewerking.
13. Selecteer Bevat voor Operator.
14. Het selecteren van een transformatie optioneel.
15. Voer het aanmeldingspaginapad in voor overeenkomende waarde. In dit voorbeeld gebruiken we /login.
16. Laat de actie-instelling op Verkeer weigeren staan.
17. Selecteer Toevoegen om de aangepaste regel toe te voegen aan het beleid
18. Selecteer Opslaan om de configuratie op te slaan en de aangepaste regel actief te maken voor het WAF-beleid.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Volgende stappen

Regels voor Web Application Firewall aanpassen